As
organizações, tanto público quanto privadas, se não adotarem cuidados mais
detalhados quanto aos dados de clientes, parceiros e colaboradores podem, sim,
enfrentar problemas relacionados a Lei Geral de Proteção aos Dados – LGPD. Um vazamento de dados, dependendo das
circunstâncias, pode envolver muitas pessoas e, com isso, diversos problemas
jurídicos que podem afetar tanto a credibilidade quanto a saúde financeira de
uma organização, conforme palavras de Alana Borsatto Nunes e Silva e Bruno
Henrique Ruon, da BRNV Governança Corporativa, que estiveram na noite do dia
19/5 participando de um diálogo no auditório da Casa da Indústria, em Pato Branco,
em evento organizado pelo Instituto Regional de Desenvolvimento Econômico e
Social – IRDES. Eles estiveram acompanhados dos advogados Tiago Nunes e Silva e
Paloma Vanin Marcante.
Segundo Alana,
a LGPD foi promulgada em 2018 e foi um pouco desacreditada, mas que agora a
tendência é que haja maior conscientização das organizações sobre a necessidade
de adequação.
Bruno Ruon
sugeriu que os participantes do evento assistissem os documentários “O Dilema
das Redes” e “Privacidade Hackeada”, ambos na Netflix, que retratam o quanto
das nossas informações são aproveitadas pelas empresas e como isso influencia o
nosso cotidiano. “É fundamental termos controle sobre os dados pessoais que
circulam na nossa organização para evitarmos, principalmente, problemas jurídicos,
perda de novos negócios e prejuízos à sua imagem e ao seu valor de mercado”,
detalhou citando o e-commerce de uma loja de departamentos que ficou sete dias
bloqueado por conta de um ataque hacker que sequestrou e criptografou seu banco
de dados, conhecido como ransomware.
Segundo os
especialistas, “Todas as informações que permitam a identificação de uma pessoa
são considerados dados pessoais e, portanto, precisam ser objeto de tratamento
adequado e em conformidade com a LGPD”.
Além da
fiscalização feita pela ANPD (Autoridade Nacional de Proteção de Dados) há
situações em que o Ministério Público e o Ministério Público do Trabalho podem
exigir que a empresa comprove que adotou medidas para adequação de seus
processos para fins de proteger os dados pessoais. Nesse caso, ter ao menos
iniciado um trabalho de adequação pode colaborar com o trabalho da defesa e, em
algumas situações, até evitar penalidades.
Para
que a organização possa coletar dados pessoais corretamente é necessário que
observem a finalidade, a necessidade e a adequação do tratamento. Conforme
esclarecido por Bruno, “Só podem ser coletados os dados absolutamente
necessários para atingir a finalidade".
Uma
forma de estabelecer contato entre a organização e os titulares dos dados é por
meio de avisos de privacidade nos sites (mais conhecidas como políticas de
privacidade). "Esse canal deve explicar sobre o processo de coleta e
tratamento de dados, medidas de segurança aplicadas para proteger esses dados,
informações sobre compartilhamento, tempo de retenção, direitos dos titulares e
canal de comunicação com o encarregado de dados da organização ".
A coleta de dados de crianças e
adolescentes também tem regras específicas. "O tratamento de dados de
crianças exige o consentimento específico dos pais ou responsáveis".
Aquelas organizações que coletam dados de menores de idade precisam aumentar a
segurança para proteger essas informações de potenciais incidentes de vazamento.
Sobre
os incidentes de dados (vazamentos), alertaram os consultores da BRNV, que eles
podem acontecer de várias formas "um incidente pode acontecer com o
extravio de um pen drive ou um arquivo em papel ou, ainda, por meio de um
ataque Hacker complexo. Por isso, o trabalho de adequação deve analisar todos
os setores e ambientes da organização a fim de oferecer uma conformidade personalizada
à realidade organizacional”.
Diante
da amplitude da lei, todas as organizações precisam reavaliar seus processos.
"A LGPD é aplicável a todas as pessoas físicas ou jurídicas que tratam
dados pessoais, sejam elas de direito público ou privado". Assim,
instituições sem fins lucrativos e até condomínios residenciais - que controlam
acesso com biometria, por exemplo - precisam implementar cuidados para o
tratamento de dados.
A
vice-presidente do IRDES, Rosana Demétrio da Costa, ressaltou que o encontro
chamou a atenção dos participantes que estavam curiosos em relação ao assunto,
que ainda é alvo de muitas dúvidas. “Foi um momento interessante de
aprofundamento de conhecimentos e dos desafios que teremos para adequação ao
que a lei exige.”
O
presidente do IRDES, Cláudio Petrycoski agradece a BRNV e seus profissionais
pelo esclarecimento e pela disponibilidade em orientar entidades e empresas
interessadas no assunto.